(全 甘 口 工 !| 
/ 读 目 十 | 


We a a 
ULnInaxIVG TEA 有 DT 
第 39 卷 第 10 其 计算 机 应 用 研究 Rol 39 No. 10 
录用 定稿 Application Research of Computers Accepted Paper 


格 上 基于 身份 的 可 链接 环 签名 方案 
刘 梦 情 **， 汪 学 明 ?" 


(贵州 大 学 a. 公共 大 数据 国家 重点 实验 室 ; b. 计算 机 科学 与 技术 学 院 , 贵阳 550025) 


摘 要 : 为 了 抵抗 量子 算法 的 攻击 和 应 对 恶意 签名 者 利用 环 答 名 技术 的 完全 匿名 性 输出 多 个 签名 从 而 进行 双重 开销 
攻击 这 一 缺陷 ， 同 时 为 了 解决 不 必要 的 系统 开销 浪费 问题 ， 提 出 了 一 种 新 的 格 上 基于 身份 的 可 链接 环 签 名 方案 。 该 
方案 以 格 上 近似 最 短 向 量 问题 为 安全 基础 ， 将 该 问题 的 求解 规约 于 碰撞 问题 的 求解 ， 利 用 矩阵 向 量 间 的 线性 运算 生 
成 签名 ， 同 时 结合 了 基于 身份 的 密码 技术 。 解 决 了 系统 开销 浪费 问题 ， 不 涉及 陷 门 生成 和 高 斯 采样 等 复杂 算法 ， 提 
高 了 签名 效率 ， 降 低 了 存储 开销 ， 并 在 随机 预言 模型 下 验证 了 方案 满足 完全 匿名 性 和 强 存 在 不 可 伪造 性 。 经 分 析 ， 
该 方案 是 一 个 安全 高 效 的 环 签名 方案 。 
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Identity-based linkable ring signature scheme from lattice 
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p> $550025, China) 


Abstract: In order to resist the attack of quantum algorithm and deal with the defect that malicious signers can output multiple 
signatures using the complete anonymity of ring signature technology to carry out double overhead attack, and to solve the 
unnecessary waste of system overhead, this paper proposed a new identity-based linkable ring signature scheme form lattice. 
The scheme takes the approximate shortest vector problem on the lattice as the security basis, reduces the solution of the 
problem to the solution of the collision problem, generates the signature by using the linear operation between matrix vectors, 
and combines the identity-based cryptography technology. It solved the problem of system overhead waste, does not involve 
complex algorithms such as trapdoor generation and Gaussian sampling, improves the signature efficiency and reduces the 
storage overhead. It is verified that the scheme meets the requirements of complete anonymity and strong unforgeability under 
the random oracle model. After analysis, the scheme is a secure and efficient ring signature scheme. 
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入“ 避 壹 sign” 机 制 构造 格 上 的 环 签名 外 ， LIyubashevsky 给 出 了 一 个 
利用 Fiat-Shamir 变换 基于 近似 最 短 向 量 问题 的 签名 方案 , 此 
| 有 子 交易 方式 已 经 成 为 不 可 阻挡 的 趋势 ， 其 中 少不了 数 外， 还 提出 了 拒绝 采样 29 技 术 。2018 年 ，Torres 等 人 中 第 一 
字 签 名 目的 踪影 ， 不 过 签名 者 的 身份 隐私 在 普通 的 数字 签名 个 后 量子 一 次 性 可 链接 环 签名 。 该 方案 基于 格 上 困难 假设 
不 能 得 到 保证 ,针对 这 一 问题 , 环 签名 名 被 提出 并 得 到 发 展 。 Ring-SIS, 采用 拒绝 采样 技术 , 提高 了 签名 私 钥 的 独立 性 , 并 
然而 ， 在 区 块 链 机 制 中 ， 由 于 环 签名 的 强 匿名 性 ， 恶 意 签名 ”应 用 在 区 块 链 交易 中 。 同 年 ，Baum 等 人 P0 提 出 了 一 种 更 简 
者 在 相同 事件 上 可 输出 两 个 及 以 上 的 不 同 签名 ， 从 而 遭受 双 、 更 高 效 的 格 上 LRS 方案 。2019 年 ，Torres 等 人 四 扩展 了 
重 开 销 攻 击 申 。 于 是 ，Liu 等 人 外 在 2004 年 提出 了 具有 可 链 、 ”文献 [6] 的 方案 ，2.0 版 本 的 LRS 方案 诞生 ， 并 使 用 基于 格 的 
变性 的 可 链接 环 签名 (LRS)。 可 链接 性 可 以 检测 两 个 签名 是 否 。 零 知 识 证 明 实 现 了 对 超 范 围攻 击 的 安全 性 。 在 2021 年 , 汤 永 
由 同一 用 户 签名 ,目前 ,LRS 已 经 有 了 很 多 应 用 , 如 文献 [5~9] ，” 利 等 人 的 提出 了 一 种 采用 陷 门生 成 算法 和 原 像 采样 算法 的 
中 的 电子 商务 活动 。 基 于 身份 的 密码 体制 可 以 减 小 系统 开销 。 IBLRS 方案 ， 该 方案 使 用 的 算法 计算 复杂 ， 会 导致 时 间 开 销 
的 浪费 ， 首 个 基于 身份 的 可 链接 环 签名 (IIBLRS)00 在 2006 年 。 增加 ， 同 时 陷 门 尺寸 较 大 ， 也 会 增 大 存储 开销 。 
被 提出 。 早 期 提出 的 方案 0 随后 被 证 明 有 安全 缺陷 。 目 前 多 本 文 将 构造 新 的 格 上 基于 身份 的 可 链接 环 签名 (IBLRS) 
数 传统 环 签名 方案 在 量子 算法 出 现 后 都 有 被 攻破 的 风险 ,而 方案 。 方 案 将 格 上 近似 最 短 向 量 问题 的 求解 规约 为 碰撞 问题 
究 后 量子 密码 学 已 经 成 为 密码 学 的 学 术 前 沿 方向 。 在 各 类 后 的 求解 ， 不 使 用 高 斯 采样 或 陷 门 技 术 ， 所 有 计算 都 是 建立 在 
量子 密码 技术 中 ,基于 格 的 密码 学 以 其 自身 的 优势 脱颖而出 ， 矩阵 向 量 间 的 简单 乘法 运算 使 其 具有 更 高 的 计算 效率 。 在 随 
已 成 为 最 受 关注 的 后 量子 密码 学 技术 。 机 预言 机 模型 下 验证 该 方案 的 安全 性 并 对 方案 的 效率 进行 仿 
基于 格 的 密码 学 是 由 Ajtai02 提 出 的 , 格 上 的 困难 假设 的 真 分 析 。 
求解 对 于 量子 计算 机 也 是 困难 的 031。2008 年 , Gentry 等 人 0 
基于 格 上 的 难题 提出 了 一 种 “hash-and-sign” 签 名 方案 ,这 一 预备 知识 
签名 机 制 被 广泛 应 用 059。 但 是 ,“hash-and-sign” 签 名 机 制 1.1 符号 说 明 
的 存储 开销 和 计算 效率 都 不 是 很 理想 。 除 了 使 用 “hash-and- 表 1 为 本 文中 即将 用 到 的 符号 的 简单 说 明 。 
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录用 定稿 刘 梦 情 ， 等 : 格 上 基于 身份 的 可 链接 环 签名 方案 


表 1 符号 说 明 


Tab.1 Notations 
符号 说 明 
R(Z) 实数 集 (整数 集 ) 
[a] 集合 {1,2,…,d} 
p 素数 
n 2 的 次 里 
m,d 整数 
2, 商 环 2Z/pZ 
如 十 1 不 可 约 多 项 式 
a,Y... 多 项 式 
a,b... 多 项 式 向 量 
A,B,C... 和 矩阵 
xx<_S x 是 从 5 中 选择 的 均匀 随机 样本 
人 无 穷 范 数 
LN 从 希 函数 族 
H 哈 希 函数 
A 消息 
1.2 格 理 论 
定义 1 格 。 设 VeR”™ 是 由 人 9,…,v。} 构成 的 矩阵 ， 其 中 


fo 是 严 个 线性 无 关 的 向 量 。 格 刀 
为 加 s2 的 向 量 v…v 的 线性 集合 ， 即 : 
L(V)={mv + or tt XDA, NX, eZ"} (1) 
设 4 是 一 个 人 +D -循环 格 P 如 果 有 (a.w…,a,)e4, 则 
(careac) 也 在 4 中 。 
定义 2 最 短 向 量 问题 SVP。SVP 的 目标 是 在 给 定 的 任 
意 格 4 中 求解 欧 几 里 德 范 数 最 小 的 非 零 向 量 。 简 单 来 说 ， 就 
是 在 给 定 的 任意 格 4 中 ,对 于 任意 的 格 向 量 we4 ， 存 在 这 样 
的 非 零 向 量 ws4， 使 lsI 思 成 立 。 
定义 3 近似 最 短 向 量 问题 。 5VB 给 定 一 个 维 任意 格 
4， 近 似 最 短 向 量 问题 的 目标 是 找到 一 个 非 零 向 量 "se4 能 使 
plzlal 成 立 ， 其 中 we4，7Y 是 有 理 数 。 
1.3 抗 碰撞 哈 希 函 数 族 
定义 4231 抗 碰撞 Hash 函数 族 。 对 于 DcR 和 整数 mm ， 
UN (R,D,m)={ha :ha(2)=G 必 heR",zeD"} 是 Hash 函数 族 。 等 式 
(2)=42=20% 成 立 , 其 中 6=( ma)2=( 52) 且 全 部 的 计 
算 均 为 环 R=Z,[x]/w +1) 中 的 运算 。 
此 时 ， 给 定 抗 碰 撞 Hash 函数 族 .U (R,D,m) 中 的 一 个 Hash 
函数 及 ,对 于 任意 的 eR" 和 6c&eR，, 函数 hh 满足 以 下 两 个 性 质 : 
h($+2)=h($)+h(2) (2) 
h(3e)=h($)E (3) 


生成 ， 是 指 系数 


成 工 。 

定义 5 碰撞 问题 Col(h,D)。 对 于 DcR 和 一 个 给 定 的 哈 
希 函 数 heH(R,D,m) ， 碰 撞 问 题 的 目标 是 找到 两 个 满足 
h(2)=h(2,) 的 不 同 向 量 2 名 <cDn 。 

对 于 任意 的 (z+D) -循环 格 ， 碰 撞 问 题 Col(1,D) 与 SVB 的 
是 一 样 困难 的 。 

对 于 整数 4 ,定义 D=fgsR:| 引 <d 。.2 (RD 如 上 所 述 ， 
日 "> p>4dmn's logn, 有 如 下 定理 : 

定理 10?1 给 定 某 个 随机 的 哈 希 函数 he.H(R,D,m)， 若 

是 存在 一 个 算法 能 以 不 可 忽略 的 概率 破解 碰撞 问题 Col( 1,D)， 
则 必定 存在 一 个 算法 能 够 破解 任意 (w+D -循环 格 4 上 的 
SVP,(A), 其 中 Y=16dmnlog?n 。 
1.4 统计 距离 

定义 6 可 忽略 函数 。 若 有 这 样 的 整数 w ， 给 定 所 有 的 
常数 < 以 及 nz>N, 均 有 OOD<z 成 立 , 则 函数 是 可 忽略 的 。 
通常 用 negl(n) 表 示 可 忽略 函数 。 

定义 7 统计 距离 。 设 外 和 了 是 有 限 域 S 中 的 两 个 随机 
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变量 ， 则 变量 和 了 之 间 的 统计 距离 可 被 定义 为 


A(XY)=3 DPr[X =x]-Pr[Y =x] (4) 


若 卫 和 了 两 者 间 的 统计 距离 A(X,7)< negl(n)， 则 称 X 与 
了 之 间 统 计 不 可 区 分 。 


2 ”基于 身份 的 可 链接 环 签名 


2.1 一 般 性 定义 

一 个 基于 身份 的 可 链接 环 签名 方案 在 一 般 情况 下 都 是 由 
五 个 多 项 式 时 间 算 法 (Setup、Extract、RingSign、Verify 和 Link) 
构成 : 

a) 系 统 设置 Setup(n): 随机 化 算法 ， 由 密 钥 生成 器 KGC 
执行 。 该 算法 输入 安全 参数 n, 得 到 公共 参数 PP、 和 主 私 钥 MSK。 
b) 私 钥 提取 Extract(PP 1D, MSK): 随机 化 算法 , 由 KGC 
执行 。 该 算法 输入 PP、 用 户 身 份 信息 ID 和 MSK， 得 到 用 户 
ID 对 应 的 私 钥 SKip。 
环 签名 RingSign(PP，4 ，JD，U, SKip): 随机 化 算法 ， 
执行 者 是 签名 用 户 。 该 算法 输入 PP、 待 签名 消息 4、 环 U、 
签名 者 IDeU 以 及 对 应 的 SKip， 得 到 4 对 应 的 环 签名 Sig。 

验证 算法 Verify(PP U，4, Sig): 确定 性 算法 ， 由 验证 用 
户 执行 。 该 算法 输入 公共 参数 PP、 环 [人 消息 4 及 对 应 的 环 
签名 Sig， 验 证 通过 返回 “1”， 不 通过 返回 “0?”。 

链接 算法 Link ((44,5igi),( 1,5ig; )): 由 验证 者 执行 , 该 算法 
输入 两 组 消息 -签名 对 (4.5ig ) 和 ( 6,Sig; ), 如 果 它 们 是 由 同一 签 
名 者 在 同一 事件 上 生成 的 , 则 输出 “link” 否则 输出 “unlink”。 
正确 性 :可 链接 环 签名 的 正确 性 表现 为 签名 正确 性 和 链 
接 正确 性 。 
签名 正确 性 是 指 如 果 输 出 的 是 合法 的 签名 Sig， 验 证 算 
法 Verify 输出 “0” 的 概率 是 可 忽略 的 ， 也 就 是 : 

「 PP, MSK «— Setup(n) 
SK < Extract (PP, ID, MSK ) 
| Sig <— RingSign (PP, 1, 1D,U, SK,, ) 
链接 正确 性 是 指 对 于 元 组 ( 4,Sig,) 和 ( 4%,Sig; )， 如 果 它 们 
是 由 同一 签名 者 在 同一 事件 上 生成 的 ， 则 链接 算法 Link 输 
出 “unlink” 的 概率 是 可 忽略 的 ， 也 就 是 : 
PP, MSK ¢— Setup(n) 
SKip <— Extract( PP, 1D, MSK ) 


Sig, <— RingSign (PP, 44,1D,U', SK ) 
Sig, <— RingSign( PP, 44,1D,U,, SK ) 


山中 


Pr| "0" < Verify(PP,U, ,Sig) <negl(n) 


i < Link((y, Sig),(46, Sig,)) <negl(n) 


2.2 ”安全 模型 

安全 的 IBLRS 方案 的 需 满 足以 下 性 质 P9。 

定义 8 匿名 性 。 考 虑 以 下 敌手 .4 和 挑战 者 如 之 间 的 游 
戏 模拟 : 

初始 化 (Setup): 输入 n，C 执行 Setup 算法 以 获取 PP、 
MPK 和 MSK 并 将 PP 和 MPK 发 送 给 .4 。 

询问 (Query): 4 可 以 进行 以 下 询问 : 

私 钥 询 问 (Extract query): A4 向 C 递交 一 个 用 户 身 份 信 
息 ID，C 运行 算法 Extract 返回 与 ID 相应 的 私 钥 SKip。 

签名 询问 (Sign query): .4 向 Cc 提交 一 个 环 
U={D,1D,,…,ID} ,用 户 身 份 信息 DcU，, 待 签名 消息 4，C 
调用 RingSign 算法 对 消息 进行 签名 并 返回 对 应 的 签名 Sig 给 
敌手 4 。 

挑战 (Challenge): 完成 以 上 查询 过 程 之 后 ，.4 递交 消息 
Ki , 环 U' 以 及 两 个 用 户 身份 信息 友和 1D, 其 中 B,D cU， 
0C 随机 选择 be{0,1} ， 执 行 算法 RingSign， 用 7D, 对 应 的 私 钥 
签名 消息 4 和 环 U ， 输 出 一 个 环 签名 Sig’* 给 .4。 

猜测 (Guess): 5 e{0,} 是 .4 得 到 的 对 随机 数 b 的 推测 ， 
车 六 =b， 则 .4 取得 游戏 的 胜利 。 

敌手 A 在 上 述 游戏 模型 中 的 优势 定义 为 
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Adva”"(n)=|Pr[5*=b]-Y2 ， 若 是 这 个 优势 对 于 任意 多 项 式 时 间 
的 .4 来 说 都 是 可 名 略 的 ,那么 这 个 基于 身份 的 可 链接 环 签 名 
方案 满足 匿名 性 。 
定义 9 强 存在 性 不 可 伪造 性 。 考 虑 以 下 敌手 4 和 挑战 
者 C 之 间 的 游戏 模拟 : 
初始 化 (Setup): 输入 n，C 运行 Setup 算法 以 获取 PP、 
MPK 和 MSK 并 将 PP 和 MPK 发 送 给 敌手 .4 。 

询问 (Query): A 可 以 进行 以 下 询问 : 

哈 希 询问 (hash query): 敌手 4 向 挑战 者 C 提交 消息 4 和 
环 U ，C 返回 相应 的 哈 希 值 。 

私 钥 询 问 (Extract query): 敌手 .4 向 挑战 者 C 提交 消息 用 户 
身份 信息 万 ， 乙 运行 算法 Extract 返回 ID 相应 的 私 钥 SKip。 

签名 询问 (Sign query): 敌手 4 向 挑战 者 C 提交 一 个 环 
U={ID,1D,,…,ID} ,用户 身份 信息 ID; cU 和 待 签 名 消息 4，C 
调用 环 签名 算法 RingSign 对 消息 进行 签名 并 返回 对 应 的 签 
名 Sig 给 敌手 .4 。 

伪造 (Forge): 政 手 .4 输出 (Asis )， 如 果 满 足以 下 条 件 : 

a) 4 之 前 未 发 起 过 对 (ww,V"') 的 签名 查询 ; 

b) 中 任 一 成 员 的 私 钥 未 被 4 查询 过 ; 

cjVerify( PP ,U.Sig* )=1。 

则 .4 成 功 伪造 签名 并 赢得 游戏 。 

A 在 上 述 模 拟 游 戏 中 的 优势 定义 为 
Adv* (n)=Pr[Verify(PP,yi,U",Sig*)=1] ， 若 是 这 个 优势 对 于 任意 .4 
来 说 都 是 可 忽略 的 ， 则 称 这 个 基于 身份 的 可 链接 环 签名 方案 
满足 强 存 在 性 不 可 伪造 性 。 

定义 10 可 链接 性 。 考 虑 以 下 敌手 .4 和 挑战 者 C 之 间 
的 游戏 模拟 : 

初始 化 (Setup): 输入 n，C 运行 Setup 算法 以 获取 PP、 
MPK 和 MSK 并 将 PP 和 MPK 发 送 给 敌手 .4 。 

询问 (Query): .4 可 以 进行 以 下 询问 : 

哈 希 询问 (hash query): 敌手 .4 向 挑战 者 C 提交 消息 4 和 
环 U，C 返回 相应 的 哈 希 值 。 

私 钥 询问 (Extract query): 敌手 4 向 挑战 者 C 提交 消息 用 户 
身份 信息 ID，C 运行 算法 Extract 返回 万 相应 的 私 钥 SKip。 

签名 询问 (Sign query): 敌手 4 向 挑战 者 C 提交 一 个 环 
U={ID,1D,,…,ID}, 用户 身份 信息 ID; cU 和 待 签名 消息 4，C 
调用 环 签名 算法 RingSign 对 消息 进行 签名 并 返回 对 应 的 签 
名 Sig 给 敌手 .4 。 

伪造 (Forge): 最 后 ， 敌 手 .4 输出 元 组 (4 如 ,sier ) 和 
(如 2,Sis> )， 如 果 满 足以 下 条 件 : 

/4 之 前 未 发 起 过 对 ( 4,Ur") 和 (yw',UV2 ) 的 签名 查询 ; 

中 任 一 成 员 的 私 钥 未 被 4 查询 过 ; 

.4 至 多 拥有 一 个 用 户 的 私 钥 ; 

Verify( PP./4°,U,Sig’ )=1, i€ {1, 2}; 

Link( Sig,Sig, )= “unlink”。 

则 .4 赢得 游戏 。 

4 在 上 述 模 拟 游 戏 中 的 优势 定义 为 
Advi* (n)=Pr[A wins the gamel， 若 是 这 个 优势 对 于 任意 .4 来 说 都 
是 可 忽略 的 ， 则 称 这 个 基于 身份 的 可 链接 环 签名 方案 满足 可 
链接 性 。 


3 ” 格 上 基于 身份 的 可 链接 环 签名 方案 


本 节 将 构造 格 上 IBLRS 方案 ,并 对 方案 进行 分 析 。 在 构 
造 方案 之 前 ， 本 文 对 一 些 变量 进行 说 明 ， 如 表 2 所 示 。 
3.1 方案 构造 

Setup(n): 给 定安 全 参数 n,n 是 2 的 次 堪 ，m=logn， 
d=mn!'s logn, p>4d? 日 满足 P=3mod8 为 素数 。 当 n>4 时 ， 
可 以 验证 不 等 式 ">*%swy 和 p>4dmn'slogn 成 立 。 从 .MU (R,D,m) 


刘 梦 情 ， 等 : 格 上 基于 身份 的 可 链接 环 签名 方案 


ChinaXiv 合 作 期 刊 
第 39 考 第 10 期 


中 随机 选择 一 个 Hash 函数 h。 选 择 一 个 随机 预言 函数 
ET 坟 D。 从 DP? 随机 选取 $8，C<R， 计 算 5=h($) 。 输 出 
PP={n,m,p,C,D,D,,D,,D.,h,H} MPK= § 和 MSK=§ 。 

Extract (PP ID, MSK): 输入 PP、MSK 和 用 户 身 份 信息 
IDe{01) ， 进 行 如 下 计算 : 

随机 选取 疡 所 2D" 并 计算 Co =h(#,); 

计算 2=H(1D,6w) 和 $ip =$E+tF; 

如 果 $iw# DPD” ， 返 回 步骤 1); 

输出 满足 $pe Dr 和 h(8wp)= 缀 +0% (其 中 2=H(1D,6w) ) 的 $1， 
用 户 身份 信息 ID 对 应 的 私 钥 是 wo =$o 。 

RingSign ( PP,41D,skw,U ): 设 环 VU={1D,1D,…,1D}。 输 入 
PP， 待 签名 消息 ue{01} ， 签 名 者 身份 信息 D,(j se 四) 以 及 对 应 
的 签名 私 钥 wo 。 签 名 过 程 如 下 : 
计算 链接 标签 1=H(C,sk); 
随机 选取 久生 性 (其 中 je 四) 并 计算 了 =n(3,); 
计算 &=H(40,7,1D)) 和 = DE+skp, ; 

如 果 纪 sDr ， 则 返回 步骤 1); 
输出 签名 Se =(&,%,…,2,1, 了 ) 。 

Verify( PP,U,w46Sis ): 给 定 PP， Sis=(& 名 ,…, 和 1. 了) ，K 和 
U={1D,1D,,…,ID} 。 当 有 日 仅 当 人 jeD” 上 且 A2)= 疱 +5+On (其 中 
a= 有 H(1UV,P,1D) ,2=H(1D.6%) ) 成 立时 , 返回 “1”; 否则 , 返回 “0”。 

Link( ou(4) ， oo(p) ): 输入 两 个 环 签 名 
cu (AD)=( 全 2) 和 cu: (412)= (2 人 2 o 如 果 签 名 Cu (4) 和 
cu (如) 都 是 有 效 的 并 且 厂 =2， 则 输出 “ink 否则 输出 “unlink”。 
表 2 变量 说 明 
Tab. 2 Variables 


变量 说 明 

R Z,[x]/(x" +1) 
{geR:l8l, <d} 

D, {8 eR:|8l, <1} 

D. {8 eR:|8l, Sn logn} 

D. {SeR:8 <ad—nslogn} 

H (R,D,m) 哈 希 函数 族 
3.2 正确 性 


下 面 将 从 签名 正确 性 和 链接 正确 性 
案 的 正确 性 。 

签名 正确 性 : 由 文献 [25] 中 的 推论 6.2 可 知 ,任意 $eDr”， 
有 aliet3epr]=2-oD 成 立 ， 在 之 前 的 参数 设 定 中 ， 有 DP.cDPD， 所 


以 SpEeD .I D; Dr” 和 ceD, 可 知 ， 2 = BE + Sm 的 概率 为 -20 


此 可 知 ， 和 5 s 产 成 立 的 概率 是 不 可 忽略 的 。 签 名 的 正 
以 下 等 式 验证 : 


h(2;)=h(PE+tskp)=h(P e+e +t, )= 


个 方面 证 明 以 上 方 


确 性 可 


h($e)+h(Se)+h(Fo)=h(P,) E+h(§)e+h(Ft, )= 
E+ Se+O, 

链接 正确 性 : 本 文 考 虑 两 个 签名 06.(4w)=( 纪 名 …, 和 ,2, 了 ) 和 
ou (如 )=( 纪 名 … 忆 ,1, 了 ) ,其 中 身份 信息 为 DeUimU; 对 两 条 消息 
A4 和 如 签名 的 诚实 用 户 是 真正 的 签名 者 ， 那 么 算法 Link 在 验证 的 过 
程 中 一 定 会 输出 “link” 也 就 是 说 , Pr[1=17]=Pr[H(C,skw)=H(C,sk,)]， 
居中 Skip, = skp, 5 意味 着 Pr[7 =J,]=1 8 

综 上 所 述 ， 该 方案 满足 正确 性 。 
3.3 安全 性 


下 面 将 证 明 该 格 上 IBLRS 方案 的 安全 性 。 
引 理 1 在 随机 预言 模型 下 ， 该 基于 格 的 环 签名 方案 满 
足 完全 匿名 性 。 


证 明 根据 匿名 性 的 定义 ， 如果 存在 多 项 式 时 间 敌 手 .4 
能 以 不 可 忽略 的 优势 = 赢得 定义 8 中 的 匿名 性 游戏 ， 则 可 构 
造 出 挑战 者 C 调用 4 作为 子 程序 以 不 可 忽略 的 概率 解决 
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SP 。A 与 0 之 间 的 交互 如 下 : (skw,Om) 返 a 人 A; 否则 ，C 随机 选择 skweD* 并 计算 
Setup: 挑战 者 C 进行 如 下 操作 : Go =h(ski, )— a za 从 哈 希 询问 中 获得 , 返回 (wo,Go) 给 .4， 
确定 一 个 最 大 环 用 户 集 U'={0.,U0,, ， 其 中 max 表 并 在 列表 7 Z3 中 分 别 添加 (2D,6w.8) 和 (1D,skn,On,8)。 
示 最 大 用 户 数 。 Sign query: 挑战 者 C 维护 初始 为 空 的 列表 Z4， 列 表 74 
挑战 者 C 运行 Setup 算法 产生 公开 参数 PP、 主 公 钥 的 元 组 为 (4,1D,0,,6,1%) ,敌手 .4 随机 选取 1 个 向 量 针 Dr， 
MPK 和 主 私 钥 MSK， 并 将 PP 和 MPK 发 送 给 敌手 4。 is[], 随后 向 挑战 者 C 提交 一 个 消息 、 环 0={D,1D,,…,1D} 
Query: 敌手 4 可 以 向 挑战 者 C 发 起 私 钥 提 取 询 问 和 签 和 身份 信息 1D cU 进行 询问 。 当 敌手 .4 对 (4,1D,0) 进行 签名 
名 询问 ， 假 设 敌 手 .4 没有 重复 询问 ，C 的 回答 如 下 : 询问 时 ，C 检查 列表 L4, 假如 (4.1D,0,8,.5,7%) 存 在 , 则 直接 将 
Extract query: 敌手 .4 向 挑战 者 C 提交 用 户 Dcv'， 挑 ($%) 返 回 给 .4; 否则 ，C 检查 列表 L3， 如 果 (Dskw,6wm.8) 不 


战 者 C 运行 私 钥 提 取 算 法 Extract 返回 到 对 应 的 私 钥 sm 。 存在 ， 则 对 (3,6w,8) 进行 私 钥 提 取 询 问 以 获得 与 到 对 应 的 

Sigsn query: 敌手 4 向 挑战 者 Cc 提交 一 个 环 (wm,Go) 。 接 下 来 , C 随机 选择 方 所 2 (ie[]), 并 计算 =h(3,) 
U={1D,1D,,…,ID}cU'、 用 户 ID;cU、 待 签名 消息 4 以 及 对 应 和 名 =36+skw ， 其 中 5 从 哈 希 询问 中 获得 。 最 后 ，C 返回 
的 私 钥 kw 。 挑战 者 C 调用 环 签名 算法 RingSign 对 消息 进行 (DO 给 和， 并 在 列表 Z 和 列表 Z4 中 分 别 添加 
签名 并 返回 签名 Sig 给 4 。 (2,1D,0,9,6) 和 (pID,U,D,6, 16) 。 

Challenge: 完成 查询 后 ，.4 向 C 提交 一 个 消息 x*、 环 Forge: 敌手 .4 完成 上 述 询 问 后 以 不 可 忽略 的 概率 < 输 
"={7D,1D,…,1D} 以 及 两 个 用 户 1D,,1D; cU" ， 挑 战 者 C 随机 出 (2,V",?,2') 这样 一 个 有 效 伪 造 签名 。 其 中 ， 敌 手 4 从 未 发 
选择 be{0,1} ， 运 行 签名 算法 RingSign 用 1D; 对 应 的 私 钥 对 ”起 过 对 (A,V',1D',skiw’) 的 签名 查询 ， 也 未 查询 过 中 任 一 用 


(eV") 进 行 环 签名 并 返回 签名 Sig* 给 敌手 .4 。 户 的 私 钥 。 
Guess， 敌手 .4 输出 对 5 的 猜测 上 <{0,)。 文献 [26.27] 中 的 分 又 引 理 表明 ，.4 能 输出 两 个 有 效 伪造 
下 面 说 明 可 以 忽略 敌手 赢 得 此 游戏 的 优势 


签名 (0 各 .2H) 和 (0, 各.) 的 概率 > 二 全 s 不 可 忽略 ， 


Advs" (nn)=|Prl5*=bp]-12=s。 只 需要 证 明 挑 战 者 C 用 1D; 的 私 钥 


SK 计算 的 环 签名 5ig* = 全 二 和 27) 与 用 也 的 私 钥 SK;, 满足 2'。 
计算 的 环 答 名 se = 全 228) 是 统计 不 可 区 分 的 即 可 。 在 这 样 的 情况 下 ， HiD)=Fre+srt+o 且 
定理 2 如 果 从 DP” 均匀 随机 选取 一 个 $4， 则 存在 另 一 AH)= 关 e+Se+Onr 。 从 而 (名 一 MSKe")=h(22* 一 MSKe) 成 立 的 


个 S$'eD” ， 有 概率 1-2-20ee 满足 等 式 h($)=h($') 。 对 于 任意 
hs-U (R,D,m)、 消 息 K 和 任意 $,S'eDr 使 得 (8)=h(3') ,本文 有 


概率 不 小 于 1/2。 由 此 ， 能 够 以 > 


尖 -。 的 概率 得 到 关于 h 


A((2,6),(2"6"))=n") (5) 的 碰撞 。 
定义 7 和 定理 2 可 知 Sis* 且 Sig' 是 不 可 区 分 的 , 所 以 该 妹 此 ， 若 敌手 .4 成 功 得 到 一 个 本 方案 的 有 效 伪造 签名 ， 

方案 满足 完全 匿名 性 。 那么 挑战 者 C 就 能 求解 出 Col(h,D) 问 题 。 根 据 1.3 节 中 的 定 

引 理 2” 如果 存在 一 个 多 项 式 时 间 敌 手 .4 能 够 以 不 可 忽 理 1 和 3.3 节 中 的 引 理 2， 本 方案 满足 强 存 在 不 可 伪造 性 。 
略 的 概率 = 输出 一 个 本 方案 的 有 效 伪造 签名 ,那么 利用 .4 的 引 理 3 ” 若 方 案 不 可 伪造 ， 则 该 方案 满足 可 链接 性 。 
能 力 ， 可 以 构造 出 一 个 挑战 者 C ， 能 够 以 至 少 4-“Z = 的 概 证 明 根据 可 链接 性 的 定义 ， 假 设 存在 多 项 式 时 间 敌 手 
率 获得 Col(h,D) 问 题 的 一 个 解 。 其 中 ,，e 是 自然 对 数 ，t 是 允 A 能 以 不 可 忽略 的 优势 。 赢得 定义 10 中 的 可 链接 性 模拟 游 
许 敌 手 进 行 Hash 询问 的 最 大 次 数 。 戏 。.-4 与 C 之 间 的 交互 如 下 : 

证 明 根据 强 存在 性 不 可 伪造 性 的 定义 ， 假 设 存在 多 项 Setup: 挑战 者 C 执行 如 下 操作 : 
式 时 间 敌 手 .4 能 以 不 可 忽略 的 优势 < 输出 本 方案 的 一 个 有 确定 一 个 最 大 环 用 户 集 U'={01,02,…,Unwx} ， 其 中 max 表 
效 伪 造 签名 ， 那 么 本 文 可 以 构造 出 挑战 者 C 能 够 以 不 可 忽略 。” 示 最 大 用 户 数 。 
的 概率 求解 Col(h,D) 问 题 。.4 与 C 之 间 的 交互 如 下 : 挑战 者 C 运行 Setup 算法 产生 公开 参数 PP、 主 公 钥 

Setup: 挑战 者 C 进行 如 下 操作 : MPK 和 主 私 钥 MSK， 并 将 PP 和 MPK 发 送 给 敌手 .4 。 

确定 一 个 最 大 环 用 户 集 U'={0,U,, ， 其 中 max 表 Query: ”敌手 A 可 以 向 挑战 者 C 发 起 一 系列 询问 , 假设 
示 最 大 用 户 数 。 政 手 4 没有 重复 询问 ，C2 的 回答 如 下 : 

挑战 者 C 运行 Setup 算法 产生 公开 参数 PP、 主 公 钥 Hash query: 敌手 .4 对 7D 发 起 哈 希 询问 时 ，C 返回 6 和 
MPK 和 主 私 钥 MSK， 并 将 PP 和 MPK 发 送 给 敌手 4。 6 给 A。 

Query: 敌手 4 可 以 向 挑战 者 C 发 起 一 系列 的 哈 希 询问 Extract query: 敌手 .4 对 ID; 进行 私 钥 提 取 询问 ，C 返回 
和 签名 询问 ， 假 设 敌 手 .4 没 有 重复 询问 ，C 的 回答 如 下 : so 给 A。 

Hash query: 挑战 者 2 维护 两 个 初始 均 为 空 的 列表 工 ! 和 Sign query: 敌手 .4 向 挑 战 者 C 提交 一 个 消息 4、 环 
,列表 工 的 元 组 为 (DBD.6w.8) ,列表 Ls 的 元 组 为 (2,1D,0,8,8) 。 U={ID,1D,,…,ID} 和 身份 信息 ID,cU 进行 询问 ，C 返回 


敌手 .4 随机 选取 7 个 向 量 先 二 Pr ，is 四 ,随后 向 挑战 者 C 提 。” (1 外 给 4。 


交 一 个 消息 、 环 UV={D,ID,,… .1/D} 和 身份 信息 1D; 进行 询问 。 Forge: 敌手 A 完成 上 述 询问 后 输出 06(44)=( 纪 名 …, 名 1 了 ) 
当 敌 手 .4 对 (2,on) 进行 蛤 希 询 问 时 ，C 检查 列表 Zi， 假 如 和 o6.(1)=( 名 名 … 和 1 了 )。 

(1D,6w.8) 存 在 ， 则 直接 将 & 返 回 给 .4; 否则 ，c 随机 返回 & 分 析 : 假设 敌手 .4 在 只 拥有 一 个 私 铀 的 情况 下 能 名 以 不 
给 .4， 并 在 列表 万 中 添加 (WUD,Go,s) 。 当 敌手 A 对 (11D 了 )3 可 忽略 的 概率 = 生成 两 个 环 签名 ou(%) 和 o6(w)， 并 且 


ir 
行 哈 希 询问 时 ，C 检查 列表 L2， 假 如 (4.1D,.0.3,6) 存 在 ， 则 直 ”Verify (PP,4,06,(4),0) 总 是 输出 “1”。 由 于 本 方案 不 可 伪造 ， 
接 将 返回 给 .4; 否则 ，cC 随机 返回 5 给 4, 并 在 列表 工 中 所 以 ， 当 敌手 .4 按照 规则 诚实 地 输出 签名 cu (4) 和 cu () 时 ， 
添加 (4,1D,0.3,6)。 这 两 个 签名 才能 通过 验证 算法 并 输出 “1”。 换 句 话说 ， 有 
Extract query: 挑战 者 C 维护 初始 为 空 的 列表 Z3， 列 表 二 = 瑟 (C,skm) 和 于 = 三 (Cskm)， 只 拥有 一 个 私 钥 , 即 wo = sk ， 
ZL3 的 元 组 为 UD,wm,Gnz) 。 当 敌手 .4 对 (Z,Go,s) 进行 私 钥 提取  ” 则 随机 预言 机 五 有 相同 的 输出 , 即 五 = 一。 表明 签名 co (4) 和 
询问 时 ，C 检查 列表 L3， 假 如 (Dstw,6w.%) 存 在 ， 则 直接 将 cu() 经 链接 算法 Link 验证 时 会 输出 “link”， 这 与 定义 10 
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以 方案 是 可 链接 的 。 
3.4 效率 分 析 


本 节 将 主要 从 时 间 开 销 和 存储 
的 几 个 方案 的 效率 并 分 析 ， 比 较 对 象 为 文献 [6,21,22] 中 


现 
的 方案 。 


四 种 方案 的 时 间 开 销 比 较 结 


环 成 员 数 ， 


Tc Tsp 》 Tsp 9》 Tsp 9》 Tp 和 Thv 


刘 梦 情 ， 


中 的 假设 矛盾 ，- 赢 得 游戏 的 优势 4 (Co 是 可 忽略 的 ， 所 


开销 两 方面 比较 本 方案 与 


吉 果 如 表 3 所 示 ， 其 中 / 表示 
分 别 表 示 算 法 


TrapGen，SamplePre，SampleDom，BasisDel， 剩 余 哈 希 定 理 


(LHL) 和 和 矩 阵 向 


量 之 间 操 作 的 平均 时 间 消 耗 ， 主 要 对 主 密 钥 


输出 (MK)、 用 户 密 钥 输出 (UK)、 签 名 输出 (Sig) 和 验证 (Ver) 等 
过 程 的 耗 时 进行 分 析 。 在 MK 方面 ， 本 方案 和 文献 [22] 中 方 


案 涉 及 基于 身份 的 密码 体制 ， 
间 开 销 是 Tc 。 本 文 的 方案 不 涉及 陷 门 生成 算法 ， 
。 文 献 [6,21] 的 方案 不 是 基于 身份 的 方案 ， 因 此 


成 主 密 钥 ， 


时 间 开 销 为 Tww 
不 存在 该 部 分 时 间 开 销 。 在 UK 
时 较 短 的 hash 函数 来 输出 
运算 来 输出 私 钥 。 医 
生成 时 间 为 Tiw 


时 


公 钥 ， 


此 ， 可 以 忽 


。 对 于 文献 [6,21] 方 案 ， 用 


择 的 矩阵 和 向 量 的 标 量 乘法 生成 


使 ) 


户 的 公 钥 ， 


] LHL 产 成 的 , 文献 [21]9 
私 钥 。 文 献 [22] 中 的 方案 使 用 


户 密 钥 生 成 需要 。 
-二 下， 执行 矩阵 和 向 


Sig =(, 各 ， 


本 文 的 方案 的 签名 4 


方 


面 ， 只 需要 和 矩阵 和 向 量 


文献 [22] 


使 用 陷 门 生成 算法 生 


方面 ， 本 文 的 方案 使 用 一 个 耗 
然后 进行 简单 的 矩阵 向 量 之 间 
略 公 钥 的 输出 时 间 ， 而 私 钥 的 
户 公 钥 是 通过 随机 选 
的 。 文 献 [6] 中 的 方案 的 私 钥 是 


的 方案 利用 SampleDom 算法 生成 
一 个 耗 时 较 短 的 哈 希 函数 来 生成 用 
并 调用 SamplePre 算法 来 生成 用 户 的 私 钥 。 因此, 用 


在 Sig 方 


面 ， 本 文 的 方案 生成 的 签名 是 


量 的 乘法 操作 即 可 。 经 过 比较 ， 


成 时 间 开 销 


的 乘法 


名 验证 效率 比 其 他 三 种 参考 方案 


四 种 方案 的 存储 
主要 分 析 公 钥 、 私 
本 文 的 方案 对 用 户 的 身份 信 
向 量 作为 用 户 
4wz-D 维 列 向 量 的 乘法 运算 生成 n 维 
矩阵 和 既 维 列 向 量 的 乘法 运算 生成 


的 公 钥 


文献 [6 


文献 [21] 方 案 进 行 n 


X110 乡 


n 维 列 向 量 作为 月 
执行 哈 希 操作 输出 


昌 户 公 钥 。 


文献 [22] 的 方案 对 上 


远 小 于 其 他 三 种 方案 。 在 Ver 
操作 。 经 过 比较 ， 该 方案 的 签 


更 高 
[三 


更 高 。 


开销 比较 结果 如 表 4 所 示 ， 其 中 7 表示 
钥 和 签名 的 大 小 。 在 公 钥 方面 ， 
息 执 行 哈 希 操作 输出 


个 n 维 列 
] 方 案 进 行 xx(m-D 维和 矩阵 和 
列 向量 作 为 用 户 公 钥 。 


j 户 的 身份 信息 


个 nn 多 


方面 


j， 本 方案 的 用 
算 的 ， 是 一 个 m 维 列 向 量 。 
法 和 SamplePre 算法 ， 生 成 为 mxk 维和 矩阵 作为 私 钥 。 文 献 


的 列 向 量 作为 用 户 公 钥 。 
户 私 钥 是 通过 算 
文献 [6] 方 案 通 过 调用 


在 私 钥 
的 标量 乘法 计 
BasisDel 算 


阵 向 量 之 间 


[21] 的 方案 通过 调用 LHL， 输 出 wz"-D 维 列 向 量 作为 私 钥 。 
文献 [22] 的 方案 通过 调用 SamplePre 算法 生成 m 维 列 向 量 作 
为 私 钥 。 在 签名 大 小 方面 ， 本 方案 生成 的 签名 中 的 向 量 
名 (i=1,2,…,1) 和 了 都 是 m 维 的 列 向 量 。 分 析 结 果 表 明 , 本 方案 
在 签名 大 小 上 优 于 其 他 方案 。 
表 3 时 间 开 销 比 较 
Tab.3 Comparison oftime costs 
方案 MK UK Sig Ver 
方案 [6] TD (31+2)7xv +1Tsp (47+1)Twv 
方案 [21] / Tt Ta (21+1) Ty + 31Tyw 
方案 [22] Be Ts (21+1) Dn +ITsp 27T, 
本 文 方案 Tw Ty 1 ITyw 
表 4 存储 开销 比较 
Tab.4 Comparison of storage overhead 
方案 公 乌 私 钥 签名 
方案 [6] nlogg (m-Dlogg (ml+n)logg 
方案 [21] nlogg mlogg (ml+n)loggq 
方案 [22] nlogg mlogg [(m+1)l+nljlogg 
本 文 方案 mlogp mlogp m(l+l)logp 
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8, m= 640, 


q 232 


设置 参数 


件 环境 为 Windows 10 操作 系统 、 


4294967296 ，K =6， 硬 
AMD Ryzen 5 4600U with 


Radeon Graphics 2.10 GHz 处 型 


器， 编译 环境 为 Python3.9、 


JetBrains PyCharm 2018.1.3 x64， 在 此 条 件 下 进行 仿真 实验 。 


表 5 和 表 6 为 参考 方案 及 本 方案 


在 环 成 员 数 分 别 为 8、32、 


128 的 情况 下 的 时 间 开 销 和 存储 开销 对 比 结果 ， 由 于 公 钥 和 
私 钥 尺 寸 不 受 环 成 员 数 影响 ， 此 处 存储 开销 为 签名 尺寸 的 对 


比 。 图 1 为 实验 结果 对 比 图 ， 
为 8、32、128 的 结果 图 。 


其 中 (a)(b)(e) 分 别 表示 环 成 员 数 
综合 分 析 ， 本 方案 较 其 他 三 个 参考 


方案 在 时 间 开 销 和 存储 开销 上 均 有 所 提升 。 


表 5 时 间 开 销 比较 (ms) 
Tab.5 Comparison oftime costs(ms) 
1=8 1=32 1=8 
方案 
UK Sig Ver UK Sig Ver UK Sig Ver 
方案 [6] 2.31 25.24 25.74 2.31 78.53 79.44 2.31 315.74 317.24 
方案 [21] 1.55 18.22 18.24 1.55 60.26 57.68 1.55 238.82 235.43 
方案 [22] 0.62 18.22 12.48 0.62 60.26 38.72 0.62 238.82 155.62 
本 文 方案 0.37 11.90 10.32 0.37 45.17 28.93 0.37 185.26 126.91 
表 6 签名 尺寸 比较 (KB) 
Tab.6 Comparison of signature sizes(KB) 
方案 l=1 1=8 1=32 1= 128 
方案 [6] 7.46 59.83 235.62 942.18 
方案 [21] 7.46 59.83 235.62 942.18 
方案 [22] 7.47 60.91 235.93 943.46 
本 文 方案 6.74 55.01 213.07 852.03 
各 过 程 运行 时 间 比 较 
mm 方案 [6] 
mm 方案 [24] 25 7 
石 1 ee 方案 [25] 
We 本 方案 
和 提 2 
12 .48 
0 10. 32 
em i Sig 
过 程 ( 环 成 员 数 为 8) 
(a)1= 
SE 
名 -| ee 方 寄 [ .53 
I 方案 [24] 
加 」 em 方案 [25] 
ee 本 方案 
WE] 
7 
Ey 
E14 
为 
0 
Bh 5 0 62 037 
有 这 


过 程 ( 环 成 员 数 为 32) 
(b)1= 


32 


各 过 程 运 行 时 间 比 较 
15 74 29 


Sig 
过 程 〈 环 成 员 数 为 128) 


(oO)1 


=128 


图 1 


时 间 


Fig. 1 


销 比 较 (ms) 


Comparison of time costs(ms) 


录用 定稿 
4 ”结束 语 


基于 格 的 环 签名 的 研究 具有 巨大 的 潜力 和 广阔 的 前 景 。 
然而 , 现 有 的 大 多 数 基于 格 的 环 签名 方案 都 存在 计算 效率 低 、 
存储 开销 大 等 缺陷 。 与 此 同时 ， 基 于 身份 的 可 链接 环 签名 实 
现 了 基于 身份 的 密码 体制 和 环 签名 技术 的 结合 ， 有 效 地 减 小 
了 系统 开销 浪费 问题 。 同 时 ， 为 了 应 对 抵抗 量子 算法 攻击 的 
潜在 风险 ,本 文 的 方案 结合 了 格 密码 学 中 的 SVP 难题 , 对 其 
求解 难度 等 价 于 循环 格 上 碰撞 问题 的 的 求解 ， 在 方案 的 构造 
过 程 中 没有 使 用 抽样 算法 和 陷 门 算法 ， 均 为 矩阵 向 量 之 间 的 
简单 乘法 和 运算， 这 极 大 程度 地 降低 了 计算 复杂 度 ， 减 少 了 各 
步骤 的 运行 时 间 和 降低 了 存储 开销 。 在 随机 预言 模型 下 ， 给 
出 了 严格 的 安全 证 明 ， 方 案 满 足 匿名 性 、 不 可 伪造 性 和 可 链 
接 性 。 与 现 有 的 方案 相 比 ， 该 方案 的 效率 在 各 方面 都 得 到 了 
提升 。 
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